Цель EcoVadis — «направлять все компании к достижению устойчивого мира», а также реализовать четыре основные задачи EcoVadis:
- Предоставлять независимые, надежные и практичные рейтинги и аналитические материалы по устойчивому развитию благодаря совершенной методологии.
- Дать возможность наибольшему числу компаний постоянно совершенствовать свои деловые практики и вносить вклад в создание регенеративной и справедливой экономики.
- Создавать инклюзивную среду обучения для наших сотрудников, обеспечивая значимую работу и расширяя возможности будущих поколений специалистов по устойчивому развитию.
- Способствовать коллективным действиям в рамках нашей экосистемы для ускорения перехода к устойчивому миру.
Компания EcoVadis разработала систему менеджмента качества (СМК), которая сертифицирована по стандарту ISO 9001. Мы активно стремимся к постоянному улучшению качества через систему управления процессами, которая позволяет каждому сотруднику эффективно работать в безопасной и стимулирующей рабочей среде. В основе этой системы лежит наша самостоятельно разработанная ИТ-платформа, на которой выполняются все рабочие процессы. Для совершенствования процессов мы регулярно прибегаем к помощи специализированных органов и отделов, таких как наш комитет по методологии.
- Программы обучения
сотрудников- В рамках введения в должность все новые сотрудники осваивают программы обучения по обеспечению качества данных и информационной безопасности. В программах предусмотрены контрольные вопросы и проходные баллы. Все сотрудники также проходят обязательное ежегодное повышение квалификации с последующими контрольными опросами.
- Корректирующие и предупреждающие действия
- Мы постоянно совершенствуем процессы, определяем области для улучшения, чтобы устранить несоответствия или предотвратить их повторное возникновение. Одним из примеров является использование инструмента «Качество» для выявления несоответствий и обеспечения обратной связи в процессе оценки.
- Процесс управления инцидентами
- С помощью платформы управления инцидентами мы регистрируем и обрабатываем жалобы клиентов и поставщиков, а также внутренние проблемы. Все инциденты регулярно рассматриваются заинтересованными сторонами и решаются в установленные сроки.
- Внутренний аудит
- Программа внутреннего аудита рассчитана на 3 года, при этом аудит информационной безопасности проводится дважды в год, а все внутренние процессы проходят аудит качества не реже одного раза в год. Результаты аудита рассматриваются и обсуждаются во время Обзора руководства, который проводится каждые полгода.
EcoVadis предоставляет услуги по составлению комплексных рейтингов устойчивого развития компаний, обеспечиваемые с помощью глобальной облачной SaaS-платформы, размещенной в Microsoft Azure — одном из самых надежных поставщиков услуг облачного хостинга.
Мы стремимся обеспечить максимальный уровень информационной безопасности и постоянно совершенствоваться для защиты данных всех заинтересованных сторон в условиях меняющегося ландшафта угроз информационной безопасности. По этой причине EcoVadis создала ISMS (Information Security management system [Система управления информационной безопасностью], которая регулярно проходит независимые аудиты, выполняемые третьей стороной, на соответствие стандарту ISO/IEC 27001 (см. сертификат и заявление о применимости).
Наша система ISMS позволяет нам систематически поддерживать информационную безопасность в наших бизнес-процессах и услугах, а также определять и применять необходимые меры безопасности на основе оценки рисков.
Наши политики информационной безопасности регулярно пересматриваются и обновляются, чтобы подтвердить, что их содержание остается своевременным и точным, и по-прежнему соотносится с требованиями к соответствию лучшим отраслевым практикам, применимым к нам.
Мы располагаем специальной внутренней командой, отвечающей за разработку, поддержание и мониторинг информационной безопасности. Приоритеты в рамках нашей организации установлены по всему миру, чтобы обеспечить единое, согласованное видение защиты наших активов.
В EcoVadis мы понимаем, что повышение осведомленности об угрозах информационной безопасности — это постоянный процесс. Наши сотрудники регулярно проходят обучение передовым методам в области ИТ и информационной безопасности в соответствии со стандартами ИТ-безопасности EcoVadis, а также методикам безопасной эксплуатации ИТ-систем.
Мы поддерживаем точную и актуальную инвентаризацию активов, связанных с предоставляемыми услугами, и классифицируем информацию с точки зрения юридических требований, ценности, критичности и чувствительности к несанкционированному раскрытию или изменению.
Azure представляет собой многопользовательскую службу, в которой существует логическое разделение, которое изолирует данные между заказчиками.
Права доступа и привилегии для информационных систем и сетевых доменов EcoVadis должны распределяться на основе конкретных требований должностной функции пользователя (RBAC), при этом мы следуем принципам доступа к информации по принципу служебной необходимости («положено знать») и минимума полномочий («наименьших привилегий»).
Наши клиенты управляют доступом самостоятельно: администратор клиентской платформы может создавать и деактивировать пользователей по мере необходимости. Доступ к платформе можно получить, используя имя пользователя и пароль. Мы также предоставляем возможность аутентификации через систему единого входа (SSO) для запрашивающих компаний, и вы можете связаться со своим обычным контактным лицом в отделе продаж для получения дополнительной информации.
Данные шифруются (в неактивном состоянии и при передаче) с использованием одобренных в отрасли алгоритмов и методов шифрования. Мы следуем лучшим отраслевым практикам для безопасного хранения и управления учетными цифровыми идентификационными данными в нашей среде.
Наши платформы размещаются в центрах обработки данных Microsoft Azure, расположенных в ЕС. В соответствии с моделью совместной ответственности в облаке, обеспечение средств контроля физической безопасности входит в обязанности корпорации Майкрософт. Дополнительную информацию о средствах контроля можно найти здесь.
Мы следим за тем, чтобы изменения в организации, бизнес-процессах, средствах обработки информации и системах, влияющие на информационную безопасность, находились под контролем. Мы внедрили технологии и процессы мониторинга и обнаружения для выявления, предотвращения уязвимостей перед вредоносными программами или других событий, связанных с безопасностью, в нашей инфраструктуре и управления ими. Используются передовые методы повышения безопасности, такие как CIS (Center for Internet Security [Центр интернет-безопасности]) для операционных систем и руководства Microsoft Azure по усилению безопасности для облачных служб.
Сетевой доступ к внутренним службам и серверам ограничен и защищен. У нас имеется межсетевой экран веб-приложения (Web Application Firewall) (подробности см. здесь), и мы используем Azure Front Door — современный облачный сервис на основе сети доставки контента (CDN), который обеспечивает высокую производительность, масштабируемость и безопасный пользовательский интерфейс.
Мы используем отраслевые стандарты для обеспечения безопасности наших систем и жизненного цикла разработки программного обеспечения (SDLC). Гарантируется, что новые разработки проходят надлежащие процессы тестирования и проверки перед запуском в эксплуатацию. Среды разработки, тестирования и эксплуатации разделены.
Мы установили требования по информационной безопасности для поставщиков, которые могут получать доступ, обрабатывать, хранить, передавать или предоставлять компоненты ИТ-инфраструктуры для информации организации. Мы также проводим оценки рисков кибербезопасности и безопасности данных поставщиков, имеющих доступ к нашей сети, данным или другой конфиденциальной информации.
Мы постоянно работаем над обеспечением высокой безопасности услуг для наших клиентов, однако инциденты — это неизбежная реальность, которой необходимо тщательно управлять. В EcoVadis применяются соответствующие меры для обеспечения последовательного и эффективного подхода к управлению инцидентами информационной безопасности. Наш процесс управления инцидентами безопасности включает, в частности: уведомление клиентов, ведение письменных процедур, которым необходимо следовать в случае инцидента безопасности, и использование всех разумных усилий для смягчения последствий инцидента.
Мы стремимся к тому, чтобы средства обработки информации были реализованы с резервированием, достаточным для удовлетворения требований доступности (см. отчет о времени безотказной работы нашей платформы, в котором постоянно отслеживаются производительность и доступность служб, а также реальный опыт пользователей).
Резервное копирование выполняется и тестируется регулярно в соответствии с установленной политикой резервного копирования.
Чтобы получить более полное представление о соблюдении требований информационной безопасности, мы проводим несколько видов аудита и технических проверок:
– Проверки инфраструктуры
– Проверки кода (SAST: Static Application Security Testing (Статическое тестирование безопасности приложений), SCA: Software Composition Analysis (Анализ композиции программного обеспечения))
– Тестирование веб-приложений на защиту от несанкционированного доступа (проводится не реже одного раза в год внешней компанией)
– Внешнее управление средствами безопасности
– Внутренние оценки рисков
– Аудиты в рамках сертификации ISO 27001
Мы заполнили несколько стандартных анкет. Доступ к результату может быть предоставлен по требованию
- Cybervadis
- CyberGRX
- SecurityScorecard:
- Whistic
Сертификаты Microsoft Azure доступны на портале Service Trust.
Библиотеки с открытым исходным кодом или компоненты, связанные с любой из применимых услуг. Решение EcoVadis иногда включает или зависит от библиотек с открытым исходным кодом. В соответствии с лицензионными требованиями библиотек с открытым исходным кодом и моральным правом лицензиата на авторство, ниже приведен список программного обеспечения с открытым исходным кодом, используемого для создания наших продуктов. Следует иметь в виду, что вся информация здесь предоставляется по принципу «как есть» и может быть изменена лицензиатом:
Имя компонента/проекта | Лицензия |
ActiveUp.Net | LGPL 2.1 * |
AjaxControlToolkit | BSD 3 |
Bootstrap | MIT |
ClosedXML | MIT |
DocumentFormat.OpenXml | MIT |
Editor_plugin | LGPL 2.0 * |
EPPlus | LGPL 2.1 * |
Highcharts | CC BY NC 3.0 |
ICSharpCode | MIT |
Ionic | Zlib |
jQuery.dataTables | MIT |
jQuery.easing | MIT |
jQuery.easy | MIT |
jQuery.form | MIT |
jQuery.linq | MIT |
jQuery.multiselect | MIT |
jQuery.perfect-scrollbar-with-mousewheel | MIT |
jQuery.scrollTo | MIT |
jQuery.slim | MIT |
jQuery.tipTip | MIT |
jQuery.validate.unobtrusive | Apache 2.0 |
jQuery.validate | MIT |
jQuery | MIT |
Knockout | MIT |
LINQ | Microsoft Public |
Modernizr | MIT |
Newtonsoft | MIT |
PayPal .NET SDK | SDK LICENSE |
Ninject | Apache 2.0 |
NLog | BSD 3 |
NPOI | Apache 2.0 |
Prototype | MIT |
wkhtmltoimage | LGPL 3.0 * |
wkhtmltopdf | LGPL 3.0 * |
wkhtmltox | LGPL 3.0 * |
* Приложение динамически связано с лицензией LGPL, следовательно, собственный код может оставаться закрытым.
Компания EcoVadis считает, что GDPR является важным шагом для усиления и гармонизации защиты персональных данных граждан ЕС. Как контроллер данных компания Ecovadis обязуется соблюдать правила и внедрять лучшие практики.
Ecovadis использует стандарт ISO 27001, по которому мы сертифицированы, в качестве основы и интегрирует аспекты защиты персональных данных в свою систему управления. Мы используем дополнительный стандарт ISO 27701 для выполнения требований GDPR. Наша практика защиты данных и соответствие требованиям подтверждается сторонним аудитом.
Для обработки данных, осуществляемой за пределами ЕС, мы заключили стандартные договорные положения (СДП) с нашими дочерними компаниями.
Мы всегда тщательно выбираем наших поставщиков (процессоров). Для работы с нами поставщики должны заключить соглашение о защите данных, а также о соблюдении стандартных договорных положений (СДП) или обязательных корпоративных правил (BCR) в случае обработки данных за пределами ЕЭЗ. Мы стремимся выбирать подписки поставщиков таким образом, чтобы данные размещались на серверах, расположенных в Европе. Для предоставления наших услуг мы используем следующих процессоров:
Мы полагаемся на рекомендации, выпущенные французским органом по защите данных CNIL и Европейским советом по защите данных относительно дополнительных мер, которые могут потребоваться для возможной передачи данных в США на основе стандартных условий договора (Standard Contractual Clauses, SCC) или обязательных корпоративных правил (Binding Corporate Rules, BCR).
Узнайте больше в нашем заявлении о конфиденциальности данных.
EcoVadis обязуется соблюдать все действующие законы и правила, применимые к оператору онлайн-услуг общего назначения, включая, без ограничения, законы Франции и США, в отношении своих собственных местонахождений предоставления услуг.
Ограничения по месту назначения
Принимая во внимание общие деловые риски, продукты и услуги Ecovadis недоступны для экспорта, повторного экспорта, передачи и/или использования в следующих странах/регионах (могут быть изменены без уведомления):
- регионы Крым, Донецк и Луганск
- Куба
- Иран
- Северная Корея
- Сирия
Кроме того, к транзакциям с определенными местами назначения, представляющими повышенный риск экспортного контроля или санкций, или связанными с ними, предъявляются повышенные требования комплексной юридической оценки.
Ограничения для конечных пользователей
Продукты и услуги EcoVadis недоступны юридическим и физическим лицам, операции с которыми запрещены в соответствии с действующими законами об экспортном контроле и санкциях, включая лиц, перечисленных в любых применимых списках сторон, находящихся под санкциями (например, санкционный список Европейского союза, списки лиц особой категории США, OFAC, санкции Совета Безопасности ООН, списки, составляемые странами, в которых компания EcoVadis ведет деятельность).
Ограничения конечного использования
Услуги EcoVadis не должны использоваться в целях, запрещенных применимым экспортным законодательством, включая, помимо прочих, разработку, проектирование, производство или изготовление ядерного, химического или биологического оружия массового поражения.